Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
USB-Sticks mit Hardwareverschlüsselung sollten eigentlich die Daten des Nutzers schützen. Ärgerlich, wenn Sicherheitslücken eben dies verhindern können, wie nun bei Corsair geschehen. Mit einer bestimmten Tastenkombination soll sich das Passwort des Flash Padlock 2 entfernen lassen, ohne dass dabei die Daten gelöscht werden.
Die größte Frechheit ist doch eher, dass die Daten im Plaintext vorliegen, obwohl von hardwareseitiger AES-256Bit-Verschlüsselung die Rede ist!
Edit: damit ich richtig verstanden werde:
Das sich das Passwort entfernen lässt, ist an sich eine gewollte Funktion. Allerdings sollten dabei eigentlich auch die Daten auf dem Stick komplett gelöscht werden, was sich aber offensichtlich umgehen lässt.
Selbst wenn die Entfernung des Passwortes gewollt ist, so werden in so einem Fall nicht erst alle Daten gelöscht. Das würde recht lange dauern und wäre auch völlig sinnlos, wenn die Daten sowieso auf dem Flash-Speicher verschlüsselt sind.
Das sind sie aber offensichtlich nicht. Damit ist der Stick komplett wertlos, weil man sich jederzeit einen Controller (ohne Passworteingabe) bauen könnte, der die Daten aus dem Speicher ausliest.
So ein Stick wird damit mehr als wertlos und das Versprechen der Hardwareverschlüsselung ist eine riesige Lüge.
Und somit wäre bewiesen dass die Daten nicht verschlüsselt vorliegen!
Genauso wie bei IBMs tollen portable 2.5" Festplatten mit Pineingabe:
Die HDD läßt sich simple ausbauen (auch wenn sie angelötet ist und nicht per stecker, das ist wohl das geringste übel bei wichtigen Daten in Punkto Recovery oder Diebstahl) und die vorgeschaltete Elektronik abmontieren, die gibt nämlich einfach nur die Read/Write rechte...
naja es gab bisher keinen Stick / Externe Platte die ihr Versprechen halten konnten ... alle konnten mehr oder weniger einfach umgangen werden ... von daher nur Augenwischerei ...
so wie eine frühere trucrypt Version die den Schlüssel unverschlüsselt im RAM ablegte ? ...
Sicherheit gibt es nicht ausser Netzwerkkabel ziehen und in nem Safe einschliessen den PC ...
und selbst das ist nicht 100%
rein theoretisch ist die Verschlüsselung unknackbar, die Implementierung meistens leider nicht ...
Irgendwie machen solche echt billigen Lecks solche Produkte sinnlos... Das is wie ein Safe mit einem fetten Schloss, wo man allerdings die Schanierbolzen eifnach rausziehen kann.
Wenn ich einen solche Stick kaufe, erwarte HW-Verschlüsselung (d.h. mit Fullspeed) welche Ihren Schlüssel aus dem PIN-berechnet -und nix anderes. Das wäre schon im Konzept sicher, da KANN man eigentlich keinen Bug einbauen...
Dann ist eben der 2. Schlüssel unverschlüsselt und daraus kann man trivial auf den richtigen Schlüssel kommen...
Alle mir bekannten Verschlüsselungssoftwares beruhen darauf, dass der Schlüssel im RAM behalten wird (daher war doch so ein großes Theater damals bei der "Cold-Boot Attack" mit RAM der noch ein paar Sek. den Inhalt behält, oder sogar länger wenn man ihn einfriert) und wer seinen PC verschlüsselt sollte sich besonders vor Malware in Acht nehmen weil die Zugriff auf den RAM bekommen könnte.
Edit: FireWire sollte man aus dem Grund wohl auch lieber abschalten!
Dann muss ja schon jemand an den laufenden Rechner und der muss auch noch eingeloggt sein (die ganzen Passwort-Resetter brauchen ja nen Reboot der den Ram löscht, autorun funktioniert ausgeloggt afaik auch nicht). Da würde ich jetzt keine so großes Problem sehen.
Hier verlierst du den Stick und jeder kann drauf zugreifen, das wäre bei TrueCrypt nicht der Fall.
die schlüssel müssen irgendwo klartext vorliegen.
aber man kann diese sehr gut "verstecken". z.B. auf einen anderen USB-Stick oder in einer Programminternen source z.B: ein gewöhnliches Bild, bei dem einfach der Char 828 bis 838 der schlüssel sind etc.
andere methode wär noch, wenn man den schlüssel ins internet verlegt, dass heisst das anhand der MAC-Adresse der Netzwerkkarte dann noch kontrolliert werden kann obs der richtige Benutzer ist. (auch das ist wieder mit aufwand knackbar...)
Es ist so, dass nicht mal die hellsten köpfe einen Schlüssel sicher verbergen können. Beispiel Blu-Ray. die wurde auch geknackt ob wohl es technisch gar nicht möglich sein sollte
die schlüssel müssen irgendwo klartext vorliegen.
aber man kann diese sehr gut "verstecken". z.B. auf einen anderen USB-Stick oder in einer Programminternen source z.B: ein gewöhnliches Bild, bei dem einfach der Char 828 bis 838 der schlüssel sind etc.
Nein, das ist nicht möglich, da man zum Entschlüsseln den Schlüssel (bzw. abgewandelte Formen davon) für jeden einzelnen Datenblock braucht. Im Klartext sollte bei korrekte Implementierung der Schlüssel übrigens NUR im RAM liegen, niemals irgendwo in einem Bild oder so (wobei 10 Chars selbst bei hoher Bittiefe dennoch sehr/zu wenig wären - und viel zu wenig zufällig).
Der BluRay-Schutz wurde übrigens nicht "geknackt", nur die Java-VM in der die Filme decodiert werden wurde nachgebaut und mit (aus dem RAM ausgelesenen) Schlüsseln von Abspielgeräten gefüttert - wenn neue BluRays auf den Markt kommen, die diese VM aktualisieren, müssen u.U. auch diese Schlüssel aktualisiert werden. Da es aber eben Leute gibt, die geknackte Abspielgeräte daheim haben, und sich neue BluRays kaufen, dürfte das kaum Probleme bereiten...
andere methode wär noch, wenn man den schlüssel ins internet verlegt, dass heisst das anhand der MAC-Adresse der Netzwerkkarte dann noch kontrolliert werden kann obs der richtige Benutzer ist. (auch das ist wieder mit aufwand knackbar...)
Wenn der dazugehörige Schlüssel offline zur Gegenstelle gelangt und natürlich wird für jede Übertragung ein neuer Schlüssel gebraucht.
Der Versuch den nötigen Schlüssel ebenfalls 100% sicher digital zu übertragen
( http://de.wikipedia.org/wiki/Quantenkryptografie ) ist bei einem simulierten "Men in the Middle" Angriff gescheitert.
=> Folglich ist das ganze Verfahren ebenfalls nicht zu 100% sicher.
Und Fort Knox ist ebenfalls knackbar. Nur der Aufwand wäre sehr hoch und es würde recht lange dauern. Aber mit einer Armee, 1 Monat Zeit und den richtigen Bohrern... ist auch Fort Knox knackbar.
Der Versuch den nötigen Schlüssel ebenfalls 100% sicher digital zu übertragen
( http://de.wikipedia.org/wiki/Quantenkryptografie ) ist bei einem simulierten "Men in the Middle" Angriff gescheitert.
MitM ist bei Quantenkrypto prinzipbedingt NICHT möglich, allerdings ist das mit Prinzipien immer so eine Sache (wie du schon bei OTP erkannt hast).
Der MitM-Angriff den ich gesehen habe (ich glaube vom letzten C3 Ende Dezember) beruhte darauf, dass die Detektoren quasi "geblendet" werden und man dadurch eigene Infos maßschneidern kann die dann von der Gegenstelle akzeptiert werden. Klassischer Implementierungsangriff, aber kein MitM auf die Quantenkrypto selbst. Ebenso ist es oft recht einfach da einfach einen DoS zu fahren, aber Kabel abzwicken ist ja auch nicht so ganz der Sinn des Ganzen.
Zurück zum USB-Stick der bei zurückgesetztem PIN dann doch noch Daten anzeigt - ist es sicher, dass man, wenn man mit der gezeigten Vorgehensweise einmal den PIN ändert, nicht nochmals einen "Masterkey" irgendwo rumfliegen hat der vielleicht anders lautet? Immerhin dürfte es ja wohl auch kaum anders ablaufen, wenn der Stick die Firma verlässt (entweder kommt das Ding schon mit hoffentlich zufälligem voreingestellten PIN oder zumindest im "Enter PIN now" Modus daheim an). Entweder ist das ein Fehler der beim erstmaligen Initialisieren auftritt (dann könnte man das mehr oder weniger "elegant" lösen, indem man in der Fertigung erst einen PIN setzt, diesen löscht, einen neuen setzt und dann erst ausliefert) oder (was für mich wahrscheinlicher klingt) ein tiefer liegender Fehler der dann aber vielleicht auch weiterhin auftreten könnte...
Kurz gesagt - ist es sicher, dass man wenn man 1-10 durchführt nach 1-3 nicht wieder das Passwort entfernt hat und die Daten zugänglich sind?
